Regionale Netzwerk-Firewallrichtlinien und -regeln verwenden

Auf dieser Seite wird davon ausgegangen, dass Sie mit den Konzepten vertraut sind, die im Überblick über regionale Netzwerk-Firewallrichtlinien beschrieben werden.

Aufgaben im Zusammenhang mit Firewallrichtlinien

Regionale Netzwerk-Firewallrichtlinie erstellen

Sie können Richtlinien für beliebige VPC-Netzwerk innerhalb Ihres Projekts erstellen. Nachdem Sie eine Richtlinie erstellt haben, können Sie sie mit einem beliebigen VPC-Netzwerk innerhalb Ihres Projekts verknüpfen. Nach der Verknüpfung werden die Regeln der Richtlinie für VMs im zugehörigen Netzwerk aktiviert.

Console

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Drop-down-Menü der Projektauswahl Ihr Projekt innerhalb Ihrer Organisation aus.

  3. Klicken Sie auf Firewallrichtlinie erstellen.

  4. Geben Sie der Richtlinie einen Namen.

  5. Wählen Sie als Bereitstellungsbereich die Option Regional aus. Wählen Sie die Region aus, in der Sie diese Firewallrichtlinie erstellen möchten.

  6. Wenn Sie Regeln für die Richtlinie erstellen möchten, klicken Sie auf Weiter und dann auf Regel hinzufügen.

    Weitere Informationen finden Sie unter Firewallregeln erstellen.

  7. Wenn Sie die Richtlinie mit einem Netzwerk verknüpfen möchten, klicken Sie auf Weiter und dann auf Richtlinie mit VPC-Netzwerken verknüpfen.

    Weitere Informationen finden Sie unter Richtlinie mit einem VPC-Netzwerk verknüpfen.

  8. Klicken Sie auf Erstellen.

gcloud 

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME
    --description DESCRIPTION \
    --region=REGION_NAME

Ersetzen Sie Folgendes:

  • NETWORK_FIREWALL_POLICY_NAME: Ein Name für die Richtlinie.
  • DESCRIPTION: Eine Beschreibung der Richtlinie.
  • REGION_NAME: Eine Region, die Sie auf die Richtlinie anwenden möchten.

Richtlinie mit dem Netzwerk verknüpfen

Verknüpfen Sie eine Richtlinie mit einem Netzwerk, um die Richtlinienregeln für alle VMs innerhalb dieses Netzwerks zu aktivieren.

Console

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt aus, das Ihre Richtlinie enthält.

  3. Klicken Sie auf die Richtlinie.

  4. Klicken Sie auf den Tab Verknüpfungen.

  5. Klicken Sie auf Verknüpfungen hinzufügen.

  6. Wählen Sie die Netzwerke innerhalb des Projekts aus.

  7. Klicken Sie auf Verknüpfen.

gcloud

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    --name ASSOCIATION_NAME  \
    --firewall-policy-region=REGION_NAME
    [ --replace-association-on-target true ]

Ersetzen Sie Folgendes:

  • POLICY_NAME: entweder der Kurzname oder der vom System generierte Name der Richtlinie
  • NETWORK_NAME: der Name Ihres Netzwerks
  • ASSOCIATION_NAME: Optionaler Name für die Verknüpfung. Wenn nicht angegeben, wird der Name "Organisation ORG_ID" oder "Ordner FOLDER_ID" festgelegt.
  • REGION_NAME: eine Region, auf die die Richtlinie angewendet werden soll.

Regionale Netzwerk-Firewallrichtlinie beschreiben

Sie können alle Details einer Richtlinie ansehen, einschließlich aller Firewallregeln. Darüber hinaus sehen Sie viele Attribute von allen Regeln für die Richtlinie. Für diese Attribute gilt ein Limit pro Richtlinie.

Console

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt aus, das die regionale Netzwerk-Firewallrichtlinie enthält.

  3. Klicken Sie auf die Richtlinie.

gcloud 

gcloud compute network-firewall-policies describe POLICY_NAME \
    --region=REGION_NAME

Beschreibung einer regionalen Netzwerk-Firewallrichtlinie aktualisieren

Das einzige Richtlinienfeld, das aktualisiert werden kann, ist das Feld Beschreibung.

Console

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt aus, das die regionale Netzwerk-Firewallrichtlinie enthält.

  3. Klicken Sie auf die Richtlinie.

  4. Klicken Sie auf Bearbeiten.

  5. Ändern Sie die Beschreibung.

  6. Klicken Sie auf Speichern.

gcloud 

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --region=REGION_NAME

Regionale Firewallrichtlinien für Netzwerke auflisten

Console

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt aus, das die Richtlinie enthält.

    Im Abschnitt Netzwerk-Firewallrichtlinien werden die in Ihrem Projekt verfügbaren Richtlinien angezeigt.

gcloud 

gcloud compute network-firewall-policies list
    --regions=LIST_OF_REGIONS

Regionale Netzwerk-Firewallrichtlinie löschen

Bevor Sie die Firewallrichtlinie eines Netzwerks löschen können, müssen Sie zuerst alle bestehenden Verknüpfungen löschen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt aus, das die Richtlinie enthält.

  3. Klicken Sie auf die Richtlinie, die Sie löschen möchten.

  4. Klicken Sie auf den Tab Verknüpfungen.

  5. Wählen Sie alle Verknüpfungen aus.

  6. Klicken Sie auf Verknüpfungen entfernen.

  7. Nachdem Sie alle Verknüpfungen entfernt haben, klicken Sie auf Löschen.

gcloud

  1. Listen Sie alle Netzwerke auf, die mit einer Firewallrichtlinie verknüpft sind:

    gcloud compute network-firewall-policies describe POLICY_NAME \
    --region=REGION_NAME

  2. Einzelne Verknüpfungen löschen: Zum Aufheben einer Verknüpfung benötigen Sie die compute.SecurityAdmin-Rolle für das verknüpfte VPC-Netzwerk.

    gcloud compute network-firewall-policies associations delete \
    --network-firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

  3. So löschen Sie die Richtlinie:

    gcloud compute network-firewall-policies delete POLICY_NAME \
    --region=REGION_NAME

Verknüpfung löschen

Wenn eine Firewallrichtlinie in einem Netzwerk nicht mehr erzwungen werden soll, löschen Sie die Verknüpfung.

Wenn Sie jedoch eine Firewallrichtlinie durch eine andere ersetzen möchten, muss die vorhandene Verknüpfung nicht vorher gelöscht werden. Denn dadurch würde ein Zeitraum verbleiben, in dem keine der Richtlinien erzwungen wird. Ersetzen Sie daher die vorhandene Richtlinie, wenn Sie eine neue Richtlinie verknüpfen möchten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt oder den Ordner aus, das die Richtlinie enthält.

  3. Klicken Sie auf die Richtlinie.

  4. Klicken Sie auf den Tab Verknüpfungen.

  5. Wählen Sie die Verknüpfung aus, die Sie löschen möchten.

  6. Klicken Sie auf Verknüpfungen entfernen.

gcloud

gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region REGION_NAME

Aufgaben im Zusammenhang mit Firewallregeln

Netzwerk-Firewallregeln erstellen

Regeln für Netzwerk-Firewallrichtlinien müssen in einer regionalen Netzwerk-Firewallrichtlinie erstellt werden. Die Regeln werden erst aktiv, sobald Sie die zugehörige Richtlinie einem VPC-Netzwerk zuordnen.

Jede Netzwerk-Firewallrichtlinienregel kann entweder IPv4- oder IPv6-Bereiche enthalten, aber nicht beides.

Console

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt aus, das Ihre Richtlinie enthält.

  3. Klicken Sie auf den Namen der regionalen Richtlinie.

  4. Klicken Sie unter Firewallregeln auf Erstellen.

  5. Füllen Sie die Regelfelder aus:

    1. Priorität: die numerische Auswertungsreihenfolge der Regel. Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität ist. Die Prioritäten müssen für jede Regel eindeutig sein. Es empfiehlt sich, Regeln Prioritätsnummern zuzuweisen, die ein späteres Einfügen ermöglichen (z. B. 100, 200, 300).
    2. Schalten Sie die Erfassung der Logs Ein oder Aus.
    3. Wählen Sie unter Trafficrichtung die Option „Eingehend“ oder „Ausgehend“.
    4. Geben Sie bei Aktion bei Übereinstimmung an, ob Verbindungen, die der Regel entsprechen, zugelassen oder abgelehnt werden sollen oder ob die Auswertung der Verbindung an die nächste untergeordnete Firewallregel in der Hierarchie weitergeleitet werden soll.
    5. Geben Sie die Ziele der Regel an.
      • Wenn diese Regel für alle Instanzen im Netzwerk gelten soll, wählen Sie Alle Instanzen im Netzwerk aus.
      • Wenn Sie die Regel auf bestimmte Instanzen anhand von Tags anwenden möchten, wählen Sie Sichere Tags aus. Klicken Sie auf BEREICH AUSWÄHLEN und wählen Sie die Organisation oder das Projekt aus, in dem Sie Tag-Schlüssel/Wert-Paare erstellen möchten. Geben Sie die Schlüssel/Wert-Paare ein, auf die die Regel angewendet werden soll. Wenn Sie weitere Schlüssel/Wert-Paare hinzufügen möchten, klicken Sie auf TAG HINZUFÜGEN.
      • Wenn Sie die Regel von einem verknüpften Konto auf bestimmte Instanzen anwenden möchten, wählen Sie Dienstkonto aus, geben Sie unter Umfang des Dienstkontos an, ob das Dienstkonto im aktuellen Projekt oder in einem anderen Projekt enthalten ist. Wählen Sie dann im Feld Zieldienstkonto den Namen des Dienstkontos aus oder geben Sie ihn ein.
    6. Geben Sie den Quellfilter für eine Regel für eingehenden Traffic an:
      • Wenn Sie eingehenden Traffic nach IPv4-Quellbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereich ein. Verwenden Sie 0.0.0.0/0 für jede IPv4-Quelle.
      • Wenn Sie eingehenden Traffic nach IPv6-Quellbereichen filtern möchten, wählen Sie IPv6 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereich ein. Verwenden Sie ::/0 für jede IPv6-Quelle.
      • Wenn Sie die Quelle nach Tags begrenzen möchten, klicken Sie im Abschnitt Tags auf BEREICH AUSWÄHLEN. Wählen Sie die Organisation oder das Projekt aus, in dem Sie Tags erstellen möchten. Geben Sie die Schlüssel/Wert-Paare ein, auf die die Regel angewendet werden soll. Wenn Sie weitere Schlüssel/Wert-Paare hinzufügen möchten, klicken Sie auf TAG HINZUFÜGEN.
    7. Geben Sie den Zielfilter für eine Ausgangsregel an:
      • Wenn Sie ausgehenden Traffic nach IPv4-Zielbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereich ein. Verwenden Sie 0.0.0.0/0 für jedes IPv4-Ziel.
      • Wenn Sie ausgehenden Traffic nach IPv6-Zielbereichen filtern möchten, wählen Sie IPv6 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereich ein. Verwenden Sie ::/0 für jedes IPv6-Ziel.
    8. Optional: Wenn Sie eine Regel für eingehenden Traffic erstellen, geben Sie die Quell-FQDNs an, für die diese Regel gelten soll. Wenn Sie eine Regel für ausgehenden Traffic erstellen, wählen Sie die Ziel-FQDNs aus, für die diese Regel gelten soll. Weitere Informationen zu Domainnamenobjekten finden Sie unter Domainnamenobjekte.
    9. Optional: Wenn Sie eine Regel für eingehenden Traffic erstellen, wählen Sie die Quell-Standorte aus, für die diese Regel gelten soll. Wenn Sie eine Regel für ausgehenden Traffic erstellen, wählen Sie die Ziel-Standorte aus, für die diese Regel gelten soll. Weitere Informationen zu Standortbestimmungs-Objekten finden Sie unter Standortbestimmungs-Objekte.
    10. Optional: Wenn Sie eine Regel für eingehenden Traffic erstellen, wählen Sie die Quell-Adressgruppen aus, für die diese Regel gelten soll. Wenn Sie eine Regel für ausgehenden Traffic erstellen, wählen Sie die Quell-Adressgruppen aus, für die diese Regel gelten soll. Weitere Informationen zu Adressgruppen finden Sie unter Adressgruppen für Firewallrichtlinien.
    11. Optional: Wenn Sie eine Regel für eingehenden Traffic erstellen, wählen Sie die Google Cloud Threat Intelligence-Quelllisten aus, für die diese Regel gilt. Wenn Sie eine Regel für ausgehenden Traffic erstellen, wählen Sie die Google Cloud Threat Intelligence-Ziellisten aus, für die diese Regel gilt. Weitere Informationen zu Threat Intelligence finden Sie unter Threat Intelligence für Firewallrichtlinien-Regeln.

    12. Optional: Geben Sie eine Regel für eingehenden Traffic an die Zielfilter an:

      • Wenn Sie eingehenden Traffic nach IPv4-Zielbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie die CIDR-Blöcke in das Feld IP-Bereich ein. Verwenden Sie 0.0.0.0/0 für jedes IPv4-Ziel.
      • Wenn Sie eingehenden Traffic nach IPv6-Zielbereichen filtern möchten, wählen Sie IPv6-Bereiche aus und geben Sie die CIDR-Blöcke in das Feld IPv6-Zielbereiche ein. Verwenden Sie ::/0 für jedes IPv6-Ziel. Weitere Informationen finden Sie unter Ziel für Regeln für eingehenden Traffic.

    13. Optional: Geben Sie für eine Regel für ausgehenden Traffic den Quellfilter an:

      • Wenn Sie ausgehenden Traffic nach IPv4-Quellbereichen filtern möchten, wählen Sie IPv4 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereich ein. Verwenden Sie 0.0.0.0/0 für jede IPv4-Quelle.
      • Wenn Sie ausgehenden Traffic nach IPv6-Quellbereichen filtern möchten, wählen Sie IPv6 aus und geben Sie dann die CIDR-Blöcke in das Feld IP-Bereich ein. Verwenden Sie ::/0 für jede IPv6-Quelle. Weitere Informationen finden Sie unter Quelle für Regeln für ausgehenden Traffic.

    14. Geben Sie für Protokolle und Ports entweder an, dass die Regel für alle Protokolle und Zielports gilt, oder legen Sie fest, für welche Protokolle und Zielports sie gilt.

    15. Klicken Sie auf Erstellen.

  6. Klicken Sie auf Regel hinzufügen, um eine weitere Regel hinzuzufügen. Klicken Sie Fortfahren> Richtlinie mit VPC-Netzwerken verknüpfen um die Richtlinie mit einem Netzwerk zu verknüpfen, oder klicken Sie auf Erstellen um die Richtlinie zu erstellen.

gcloud

gcloud compute network-firewall-policies rules create PRIORITY \
    --action ACTION \
    --firewall-policy POLICY_NAME \
    [--description DESCRIPTION ]\
    [--layer4-configs PROTOCOL_PORT] \
    [--target-secure-tags TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]] \
    [--target-service-accounts=SERVICE_ACCOUNT[,SERVICE_ACCOUNT,...]] \
    [--direction DIRECTION]\
    [--src-ip-ranges IP_RANGES] \
    [--src-secure-tags SRC_SECURE_TAG[,SRC_SECURE_TAG,...]] \
    [--dest-ip-ranges IP_RANGES] \
    [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
    [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
    [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]]
    [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]]
    [--enable-logging | --no-enable-logging]\
    [--disabled | --no-disabled]\
    --firewall-policy-region=REGION_NAME

Ersetzen Sie Folgendes:

  • PRIORITY: die numerische Auswertungsreihenfolge der Regel

    Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität ist. Die Prioritäten müssen für jede Regel eindeutig sein. Es empfiehlt sich, den Regeln Prioritätsnummern zuzuweisen, die ein späteres Einfügen ermöglichen (z. B. 100, 200, 300).

  • ACTION: eine der folgenden Aktionen:

    • allow: lässt Verbindungen zu, die der Regel entsprechen
    • deny: lehnt Verbindungen ab, die der Regel entsprechen
    • goto_next: leitet die Auswertung der Verbindung an die nächste Ebene in der Hierarchie weiter, entweder die Ordner- oder die Netzwerkebene

  • POLICY_NAME: der Name der Richtlinie für Netzwerkfirewalls

  • PROTOCOL_PORT: eine durch Kommas getrennte Liste von Protokollnamen oder -nummern (tcp,17), Protokollen und Zielports (tcp:80) oder Protokollen und Zielportbereichen (tcp:5000-6000)

    Sie können keinen Port oder Portbereich ohne Protokoll angeben. Für ICMP können Sie keinen Port oder Portbereich angeben. Beispiel:
    --layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp

    Weitere Informationen finden Sie unter Protokolle und Ports.

  • TARGET_SECURE_TAG: eine durch Kommas getrennte Liste sicherer Tags, um Ziele zu definieren

  • SERVICE_ACCOUNT: eine durch Kommas getrennte Liste von Dienstkonten, um Ziele zu definieren

  • DIRECTION: gibt an, ob die Regel eine ingress- oder egress-Regel ist. Die Standardeinstellung ist ingress.

    • Fügen Sie --src-ip-ranges ein, um IP-Bereiche für die Traffic-Quelle anzugeben.
    • Fügen Sie --dest-ip-ranges ein, um IP-Bereiche für das Ziel des Traffics anzugeben.

    Weitere Informationen finden Sie unter Ziele, Quelle und Ziel.

  • IP_RANGES: eine durch Kommas getrennte Liste von CIDR-formatierten IP-Bereichen, entweder alles IPv4-Bereiche oder alles IPv6-Bereiche. Beispiele:
    --src-ip-ranges=10.100.0.1/32,10.200.0.0/24
    --src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96

  • SRC_SECURE_TAG: eine durch Kommas getrennte Liste von Tags

  • COUNTRY_CODE: eine durch Kommas getrennte Liste mit aus zwei Buchstaben bestehenden Ländercodes

    • Geben Sie für die Richtung des eingehenden Traffics die Quellländercodes im Parameter --src-region-code an. Sie können den Parameter --src-region-code nicht für die Richtung des ausgehenden Traffics verwenden.
    • Geben Sie für die Richtung des ausgehenden Traffics die Ziellländercodes im Parameter --dest-region-code an. Sie können den Parameter --dest-region-code nicht für die Richtung des eingehenden Traffics verwenden.

  • LIST_NAMES: durch Kommas getrennte Namen von Threat Intelligence-Listen

    • Geben Sie für die Richtung des eingehenden Traffics die Threat Intelligence-Quelllisten im Parameter --src-threat-intelligence an. Sie können den Parameter --src-threat-intelligence nicht für die Richtung des ausgehenden Traffics verwenden.
    • Geben Sie für die Richtung des ausgehenden Traffics die Threat Intelligence-Ziellisten im Parameter --dest-threat-intelligence an. Sie können den Parameter --dest-threat-intelligence nicht für die Richtung des eingehenden Traffics verwenden.

  • ADDR_GRP_URL: eine eindeutige URL-ID für die Adressgruppe

    • Geben Sie für die Richtung des eingehenden Traffics die Quelladressgruppen im Parameter --src-address-groups an. Sie können den Parameter --src-address-groups nicht für die Richtung des ausgehenden Traffics verwenden.
    • Geben Sie für die Richtung des ausgehenden Traffics die Zieladressgruppen im Parameter --dest-address-groups an. Sie können den Parameter --dest-address-groups nicht für die Richtung des eingehenden Traffics verwenden.

  • DOMAIN_NAME: eine durch Kommas getrennte Liste von Domainnamen in dem Format, das unter Domainnamenformat beschrieben wird

    • Geben Sie für die Richtung des eingehenden Traffics die Quelldomainnamen im Parameter --src-fqdns an. Sie können den Parameter --src-fqdns nicht für die Richtung des ausgehenden Traffics verwenden.
    • Geben Sie für die Richtung des ausgehenden Traffics die Zieladressgruppen im Parameter --dest-fqdns an. Sie können den Parameter --dest-fqdns nicht für die Richtung des eingehenden Traffics verwenden.

  • --enable-logging und --no-enable-logging: aktiviert bzw. deaktiviert das Logging von Firewallregeln für die betreffende Regel

  • --disabled: gibt an, dass die vorhandene Firewallregel bei der Verarbeitung von Verbindungen nicht berücksichtigt wird. Durch das Weglassen dieses Flags wird die Regel aktiviert oder Sie können --no-disabled angeben.

  • REGION_NAME: eine Region, auf die die Richtlinie angewendet werden soll.

Regel aktualisieren

Feldbeschreibungen finden Sie unter Firewallregeln erstellen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt aus, das die Richtlinie enthält.

  3. Klicken Sie auf die Richtlinie.

  4. Klicken Sie auf die Priorität der Regel.

  5. Klicken Sie auf Bearbeiten.

  6. Ändern Sie die gewünschten Felder.

  7. Klicken Sie auf Speichern.

gcloud 

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME \
    [...fields you want to modify...]

Regel beschreiben

Console

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt aus, das die Richtlinie enthält.

  3. Klicken Sie auf die Richtlinie.

  4. Klicken Sie auf die Priorität der Regel.

gcloud

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Ersetzen Sie Folgendes:

  • PRIORITY: Priorität der Regel, die Sie ansehen möchten. Da jede Regel eine eindeutige Priorität haben muss, identifiziert diese Einstellung eine Regel eindeutig
  • POLICY_NAME: Name der Richtlinie, die die Regel enthält
  • REGION_NAME: eine Region, auf die die Richtlinie angewendet werden soll.

Regel aus einer Richtlinie löschen

Durch das Löschen einer Regel aus einer Richtlinie wird die Regel aus allen VMs entfernt, die die Regel übernehmen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt aus, das die Richtlinie enthält.

  3. Klicken Sie auf die Richtlinie.

  4. Wählen Sie die Regel aus, die Sie löschen möchten.

  5. Klicken Sie auf Löschen.

gcloud

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

Ersetzen Sie Folgendes:

  • PRIORITY: Priorität der Regel, die Sie aus der Richtlinie löschen möchten
  • POLICY_NAME: Richtlinie, die die Regel enthält
  • REGION_NAME: eine Region, auf die die Richtlinie angewendet werden soll.

Regeln von einer Richtlinie in eine andere kopieren

Alle Regeln der Zielrichtlinie werden entfernt und durch die Regeln der Quellrichtlinie ersetzt.

Console

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Drop-down-Menü der Projektauswahl das Projekt aus, das die Richtlinie enthält.

  3. Klicken Sie auf die Richtlinie, aus der Sie Regeln kopieren möchten.

  4. Klicken Sie oben auf dem Bildschirm auf Klonen.

  5. Geben Sie den Namen der Zielrichtlinie an.

  6. Klicken Sie auf Weiter > Netzwerkrichtlinie mit Ressourcen verknüpfen, wenn Sie die neue Richtlinie sofort verknüpfen möchten.

  7. Klicken Sie auf Klonen.

gcloud

gcloud compute network-firewall-policies clone-rules POLICY_NAME \
    --source-firewall-policy SOURCE_POLICY \
    --region=REGION_NAME

Ersetzen Sie Folgendes:

  • POLICY_NAME: Richtlinie, in die die kopierten Regeln eingefügt werden sollen
  • SOURCE_POLICY: Richtlinie, aus der die Regeln kopiert werden sollen; muss die URL der Ressource sein
  • REGION_NAME: eine Region, auf die die Richtlinie angewendet werden soll.

Rufen Sie die geltenden regionalen Richtlinien für Netzwerk-Firewalls ab

Sie können alle Regeln für hierarchische Firewallrichtlinien, VPC-Firewallregeln und die Netzwerk-Firewallrichtlinie ansehen, die auf eine bestimmte Region angewendet werden.

gcloud

gcloud compute network-firewall-policies get-effective-firewalls \
    --region=REGION_NAME \
    --network=NETWORK_NAME

Ersetzen Sie Folgendes:

  • REGION_NAME: Region, für die Sie die gültigen Regeln anzeigen möchten.
  • NETWORK_NAME: Netzwerk, für die Sie die gültigen Regeln anzeigen möchten.